Strumenti di scansione delle vulnerabilità, perché non open source?

16/02/2021

Con l’immensa popolarità del software open source come Linux, WordPress o Magento, ci si potrebbe chiedere perché la situazione è così diversa nel mondo della scansione di sicurezza delle vulnerabilità delle applicazioni web. Proviamo a confrontare gli scanner di vulnerabilità open source con soluzioni commerciali e presto sarà chiaro perché le aziende evitano gli strumenti di sicurezza delle applicazioni web open source.

Open-Source e sicurezza informatica

Molti dei più diffusi software di sicurezza IT vengono distribuiti utilizzando licenze open source. La maggior parte degli strumenti di test di penetrazione come nmap o Wireshark sono open source. Esistono anche soluzioni avanzate come Snort IPS/IDS e OpenVAS network vulnerability scanner (un ramo di Nessus). Allora perché è così diverso quando si parla di sicurezza delle applicazioni web?

Solitamente, la qualità degli strumenti di sicurezza delle applicazioni web open source è in ritardo rispetto ai prodotti commerciali. Sebbene ci siano piccole imprese che affermano che gli strumenti open source sono sufficienti per loro, anche loro tendono a cambiare idea quando crescono. Ecco alcuni dei motivi per cui gli strumenti di sicurezza delle applicazioni web open source non sono all’altezza di soluzioni professionali come Acunetix o Netsparker.

Motivo 1. Facilità d’uso

Quando sono comparsi i primi scanner di sicurezza Web, dovevano essere utilizzati manualmente per eseguire test di vulnerabilità. Erano destinati agli esperti di sicurezza – pentester, ricercatori di sicurezza, analisti ecc. Pertanto, la facilità d’uso non è mai stata un fattore molto importante perché gli esperti comprendono la sicurezza delle applicazioni web abbastanza bene da capire come ottenere il massimo dal software.

Col tempo, gli utenti di strumenti di scansione di vulnerabilità web sono cambiati. Ne avevano bisogno anche persone prive di una conoscenza approfondita della sicurezza, ad esempio amministratori di sistema incaricati di gestire la sicurezza nelle piccole imprese, amministratori DevOps che configurano SLDC agili o persino gli stessi sviluppatori. Perché non solo personale di sicurezza? Per un semplice motivo: le esigenze di sicurezza stanno crescendo così rapidamente che non ci sono abbastanza professionisti della sicurezza disponibili. C’è un grande divario di competenze in materia di sicurezza informatica , che tra l’altro peggiora con il passare del tempo. Pertanto, sempre più attività di sicurezza devono essere affidate a persone che hanno meno formazione e che si affidano a buoni strumenti automatizzati.

Lo sviluppo di strumenti open source non ha seguito questa tendenza. Gli scanner di vulnerabilità web open source sono rimasti piuttosto difficili da usare.

Motivo 2. Spingersi oltre la scansione delle vulnerabilità

Gli strumenti di protezione delle applicazioni Web open source sono, per impostazione predefinita, unicamente scanner di vulnerabilità. Tuttavia, le aziende hanno bisogno di molto di più che puntare uno strumento che fornisce loro un elenco di vulnerabilità. Ad esempio, non è possibile correggere tutte le vulnerabilità contemporaneamente: un’azienda deve sapere a quali vulnerabilità dare la priorità perché rappresentano un rischio per la sicurezza maggiore. È inoltre necessario gestire il processo di correzione e ricontrollo.

Gli strumenti professionali per la sicurezza delle applicazioni web come Acunetix e Netsparker non sono solo scanner, ma anche strumenti di gestione e valutazione delle vulnerabilità. Valutano la gravità della vulnerabilità in modo da iniziare risolvendo problemi importanti come SQL injection o cross-site scripting, e solo successivamente dedicano tempo a configurazioni errate non critiche. Forniscono inoltre sia la gestione dei problemi incorporata che le integrazioni pronte all’uso con noti tracker di problemi come Jira.

Motivo 3. Tenere il passo con la crescita

Il terzo motivo per cui gli strumenti di sicurezza delle applicazioni web open source non sono adatti alle aziende è legato al rapido sviluppo della sicurezza delle applicazioni web. Un’azienda non può permettersi di aspettare fino a quando i team di progetto open source non trovano il tempo per aggiungere nuove classi di vulnerabilità, nuove funzionalità o supporto per nuovi framework web. L’importanza della sicurezza delle applicazioni Web cresce rapidamente, semplicemente perché sempre più aziende passano da soluzioni locali ad ambienti virtuali (e cloud based). Ciò significa anche che i criminali sono molto interessati a stare al passo con gli ultimi sviluppi e a trovare nuovi modi per sfruttare le vulnerabilità.

I fornitori di software che sono completamente focalizzati sulla sicurezza delle applicazioni web, come Invicti , hanno un vantaggio unico: possono concentrarsi completamente sul tenersi al passo con le tecnologie e le tendenze web. Questo non è solo un vantaggio rispetto agli strumenti open source, ma anche rispetto ad altri fornitori commerciali. Molti fornitori di strumenti per la sicurezza web si concentrano principalmente sugli scanner per la sicurezza della rete, che si occupano esclusivamente di firme e patch, ed evitano le complessità della moderna sicurezza delle applicazioni web. Semplicemente non riescono a tenere il passo.

Motivo 4. Costi nascosti dell’open source

Molte aziende che lavorano con strumenti open source sanno molto bene che ci sono alcuni costi nascosti associati al software gratuito. Nel software, gratuito significa nessun aiuto e nessun supporto, ad eccezione del supporto della comunità. Ad esempio, le aziende che scelgono il sistema operativo Linux per sostituire Windows spesso si iscrivono a programmi di supporto di terze parti. Ciò rende il software libero non più gratuito e, a lungo termine, spesso più costoso delle alternative commerciali.

Ovviamente, la necessità di supporto è diversa per le diverse classi di software. Un semplice word processor potrebbe non aver bisogno dello stesso supporto di una complessa soluzione di sicurezza IT. A causa della loro natura, gli scanner di vulnerabilità web potrebbero aver bisogno di supporto con problemi di configurazione iniziale e ancora più supporto se si vogliono automatizzare le attività e integrare gli strumenti con gli ambienti IT disponibili.

Senza supporto, gli strumenti di vulnerabilità web open source sono solo strumenti manuali di pentesting per i ricercatori della sicurezza: aiutano a identificare le minacce alla sicurezza, vero, ma tutto finisce lì.

Motivo 5. Falsi positivi in ​​un Vulnerability Scanner

I falsi positivi sono il principale punto dolente della sicurezza delle applicazioni web. Questo perché la sicurezza delle applicazioni web si occupa principalmente di codice personalizzato. Se si ha un falso positivo identificato da un test di vulnerabilità della rete, ciò non influisce sugli sviluppatori e di solito significa solo che le patch applicate al software o ai dispositivi di rete non sono critiche. In uno scenario di sicurezza delle applicazioni Web, è possibile ricontrollare ogni vulnerabilità rilevata utilizzando uno scanner e consumare le risorse del team di pentesting, per non rischiare che gli sviluppatori cerchino fantasmi, cercando di risolvere un problema che non esiste.

Ecco perché uno dei criteri più importanti per la selezione di uno scanner di sicurezza web è il modo in cui gestisce i falsi positivi. Se lo scanner può, in qualche modo, dimostrare che la vulnerabilità esiste, significa che il problema può andare direttamente allo sviluppatore per una soluzione: non è necessaria la conferma manuale. Gli scanner open source (e anche diversi prodotti commerciali) non hanno tali capacità. Ogni problema segnalato è solo una potenziale vulnerabilità, non reale. D’altra parte, Acunetix può contrassegnare la vulnerabilità come confermata al 100% e in molti casi fornire una prova come una copia di dati sensibili che non dovrebbero essere accessibili.

Peggio ancora, il problema dei falsi positivi non cresce solo in modo lineare con il numero di applicazioni web e lo sviluppo dell’attività. Più grande è l’attività e più applicazioni si utilizzano, peggiore sarà l’impatto dei falsi positivi sulle risorse aziendali disponibili. Quindi, se si guarda al futuro, semplicemente non ci si può permettere di utilizzare uno strumento che potrebbe potenzialmente limitare e ostacolare la crescita, come uno scanner di sicurezza web di base, manuale e open source.

Puoi permetterti l’open source?

Il software open source è un ottimo punto di partenza se sei uno studente, un ricercatore indipendente o una piccola start-up (ad esempio, se hai meno di 5 applicazioni web in totale). Tuttavia, se hai intenzione di crescere, prima o poi noterai che il software open source non è più sufficiente e anche se identifica le vulnerabilità della sicurezza web, non può aiutarti a risolverle. E, in definitiva, l’obiettivo della sicurezza delle applicazioni web non è quello di evidenziare le vulnerabilità, ma di eliminarle.

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI